De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een inmiddels gepatchte kritieke fout met gevolgen voor Ivanti Endpoint Manager Mobile (EPMM) en MobileIron Core toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waarin staat dat deze actief in het wild wordt uitgebuit.
De kwetsbaarheid in kwestie is CVE-2023-35082 (CVSS-score: 9,8), een authenticatie-bypass die een patch-bypass is voor een andere fout in dezelfde oplossing die wordt bijgehouden als CVE-2023-35078 (CVSS-score: 10,0).
“Als deze kwetsbaarheid wordt misbruikt, kan een ongeautoriseerde, externe (op internet gerichte) actor mogelijk toegang krijgen tot de persoonlijk identificeerbare informatie van gebruikers en beperkte wijzigingen aan de server aanbrengen”, merkte Ivanti in augustus 2023 op.
Alle versies van Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 en 11.8, en MobileIron Core 11.7 en lager worden getroffen door het beveiligingslek.
Cyberbeveiligingsbedrijf Rapid7, dat de fout ontdekte en rapporteerde, zei dat deze kan worden gekoppeld aan CVE-2023-35081, zodat een aanvaller kwaadaardige webshell-bestanden naar het apparaat kan schrijven.
Er zijn momenteel geen details over hoe de kwetsbaarheid wordt ingezet bij aanvallen in de echte wereld. Federale instanties wordt aangeraden om door de leverancier geleverde oplossingen vóór 8 februari 2024 toe te passen.
De onthulling komt omdat twee andere zero-day-fouten in Ivanti Connect Secure (ICS) virtual private network (VPN)-apparaten (CVE-2023-46805 en CVE-2024-21887) ook massaal zijn uitgebuit om webshells en passieve backdoors te laten vallen. , waarbij het bedrijf naar verwachting volgende week updates zal uitbrengen.
“We hebben gezien dat de bedreigingsacteur zich richtte op de configuratie en de actieve cache van het systeem, die geheimen bevatten die belangrijk zijn voor de werking van de VPN”, zei Ivanti in een advies.
“Hoewel we dit niet in alle gevallen hebben waargenomen, raadt Ivanti uit grote voorzichtigheid aan om deze geheimen na de herbouw te rouleren.”
Volexity onthulde eerder deze week dat het bewijs heeft gevonden van compromittering van meer dan 1.700 apparaten wereldwijd. Hoewel de aanvankelijke uitbuiting verband hield met een vermoedelijke Chinese dreigingsacteur genaamd UTA0178, hebben zich sindsdien andere dreigingsactoren aangesloten bij de exploitatie-bandwagon.
Verdere reverse-engineering van de dubbele fouten door Assetnote heeft een extra eindpunt (“/api/v1/totp/user-backup-code”) blootgelegd waarmee de authenticatie-bypass-fout (CVE-2023-46805) kan worden misbruikt in oudere versies van ICS en verkrijg een omgekeerde schaal.
Beveiligingsonderzoekers Shubham Shah en Dylan Pindur beschreven het als “een ander voorbeeld van een veilig VPN-apparaat dat zichzelf blootstelt aan grootschalige exploitatie als gevolg van relatief eenvoudige beveiligingsfouten.”
